Inhaltsverzeichnis

Ganze Platten verschlüsseln mit cryptsetup/LUKS

Truecrypt

Homepage: http://www.truecrypt.org

truecrypt [container] [/mountpoint/]

Truecrypt unter Debian


Quelle1)

Vorlage(Getestet, gutsy, feisty, dapper)

(TC) ist eine Software zum Anlegen verschlüsselter, virtueller Laufwerke oder zum Verschlüsseln ganzer Festplattenpartitionen oder Speichermedien, wie z.B. USB-Sticks. Die Software wurde ursprünglich für Windows entwickelt, steht aber mittlerweile auch (ab Version 5.0 sogar mit grafischer Oberfläche) für Linux zur Verfügung. Das Ver- und Entschlüsseln der Daten erfolgt automatisch und in Echtzeit (on-the-fly), d.h. nachdem ein verschlüsseltes Laufwerk eingehängt wurde, kann ganz normal darauf zugegriffen werden und man bemerkt keinen Unterschied zu einem unverschlüsselten Laufwerk. Folgende Verschlüsselungsalgorithmen werden unterstützt:

Die Verfügbarkeit der Software für verschiedene Betriebssysteme ermöglicht es, dass z.B. ein verschlüsselter USB-Stick, Festplatte o.ä. plattformübergreifend genutzt werden kann. TrueCrypt ist Open-Source und somit für jeden frei und kostenlos verfügbar.

Mittlerweile ist mit http://bockcay.de/forcefield/ Forcefield auch eine GNOME-Benutzeroberfläche als http://bockcay.de/stuff/programs/forcefield/forcefield_0.91-1_i386.deb deb-Paket für Edgy Eft und Feisty_Fawn verfügbar, das wie gewohnt installiert werden kann. Unter Dapper_Drake kann Forcefield aufgrund fehlender Abhängigkeiten leider nicht genutzt werden. Weitere Informationen zu Forcefield finden sich u.a. im englischsprachigen http://ubuntuforums.org/showthread.php?t=364415 Ubuntu-Forum.

Außerdem gibt es mit tcgui eine umfangreiche deutsch -und englischsprachige Benutzeroberfläche für TrueCrypt, die neben Ubuntu auch unter Kubuntu funktioniert. Weitere Informationen im [topic:114235:Forum]. ##Auch für KDE ist mittlerweile eine Oberfläche bei http://www.kde-apps.de/content/show.php/Truecrypt+GUI?content=56921 KDE-Apps.de verfügbar.

Seit der Version 5.0 enthält TrueCrypt bereits eine eigene GTK Oberfläche für Linux.

= Installation = Die Installation von TrueCrypt wird auf der Seite

beschrieben.

TrueCrypt verwenden

Nachfolgend werden die wesentlichen Operationen von TrueCrypt erläutert. Dazu gehören an erster Stelle das Anlegen eines verschlüsselten Laufwerkes, sowie das Ein- und Aushängen des Laufwerkes in die vorhandene Verzeichnisstruktur. Eine Übersicht sämtlicher Befehle und Optionen erhält man über die Manpage von 'truecrypt'. Eine deutsche Übersetzung der Manpage von Truecrypt findet sich auf http://wildblue.de/linux/truecrypt/man_truecrypt_de.txt wildblue.de. Ausführliche Informationen und Erläuterungen zur Software im Allgemeinen, sowie speziell auch zu den verwendeten Verschlüsselungsalgorithmen finden sich in der Dokumentation} zu TrueCrypt.

Unterscheidung Container/Partition

Generell gibt es zwei Typen von TC-Laufwerken, die unterschiedlich gehandhabt werden:

Wenn die TC-Containerdatei auf einem [:Dateisystem:] mit Journaling liegt, wie z. B. ext3, ReiserFS, XFS oder NTFS, kann eine Passwort- oder Schlüsseländerung unter Umständen wieder rückgängig gemacht werden. Dies kann ein Sicherheitsrisiko bedeuten! Siehe hierzu http://www.truecrypt.org/docs/?s=journaling-file-systems hier {en} .

Wenn man ein verschlüsseltes Laufwerk anlegen will, muss man sich vorab für eine dieser beiden Varianten entscheiden. Für beide Typen gilt, dass die Größe des TC-Laufwerkes im nachhinein nicht mehr verändert werden kann. Ggf. müsste dann ein neues, größeres Laufwerk erstellt und die Daten von dem alten in das neue Laufwerk verschoben werden.

Das Erstellen eines TC-Laufwerks, sowie das Ein-/Aushängen ist auf der Seite

beschrieben.

Darüber hinaus gibt es noch die Möglichkeit, innerhalb eines TC-Laufwerks ein weiteres Laufwerk anzulegen. Dieses ist ohne Kenntnis des Passwortes unsichtbar, und wird daher als „verstecktes TC-Laufwerk“ bezeichnet. Wie man ein solches verstecktes TC-Laufwerk erstellt und verwendet, steht auf der Seite

"Laufwerk einhängen" vereinfachen

Die Befehlseingabe zum Einhängen eines TC-Laufwerkes ist recht umständlich und man möchte nicht unbedingt immer ein Terminal zum Ein- und Aushängen öffnen. Nachfolgend zwei Vorschläge, die das Einhängen eines TC-Laufwerkes vereinfachen, solange für Truecrypt noch keine eigene grafische Oberfläche zur Verfügung steht.

Eintrag im Startmenü

Anstatt die Befehle zum Ein- und Aushängen eines Laufwerkes immer umständlich über die Konsole einzugeben, empfiehlt es sich, für diese beiden Kommandos einen Eintrag im [:Menüeditor:Startmenü] zu erstellen. Auf diese Weise kann einfach per Mausklick ein- bzw. ausgebunden werden. Der Befehl muss dann aber unbedingt im Terminal ausgeführt werden, damit das Passwort dort eingegeben werden kann. Alternativ ist auch ein Aufruf per Vorlage(Tasten, Alt+F2) möglich (siehe [:Programme_starten:Programme starten]).

Passwort-Dialog

Alternativ kann man sich auch einen Passwortdialog dargestellt anzeigen lassen. Wie sich ein solcher Passwortdialog realisieren lässt und wie man damit ein TC-Laufwerk einhängt, ist auf der Seite

beschrieben.

Passwort ändern

Das Passwort eines TC-Laufwerkes lässt sich jederzeit mit dem Terminal-Befehl

ändern. Die Angabe des Containerfiles oder des Geräts ist dabei nicht zwingend notwendig. Wird nichts angegeben, wird es vom Programm abgefragt.

TC-Laufwerk formatieren

Anstatt des standardmäßig verwendeten FAT-Dateisystems sollte man - bei ausschließlicher Linuxbenutzung - das TC-Laufwerk mit einem Linux-Dateisystem wie z.B. EXT3 oder ReiserFS formatieren. Die entsprechende Formatierung eines TC-Laufwerkes ist auf der Seite

beschrieben.

Probleme nach Kernel-Update

Hin und wieder wird bei einer der regelmäßigen Systemaktualisierungen auch der Linux-Kernel aktualisiert und ist dann unter Umständen mit der installierten TrueCrypt Version nicht mehr kompatibel. Dann ist eine Neuinstallation von TrueCrypt erforderlich. Sollte auch das aktuelle Deb-Paket von der TrueCrypt Homepage fehlschlagen ist eine Installation aus den Quellen erforderlich. Version 5 wurde so umgestaltet, das die Software nicht mehr von einem Kernelupdate beeinflusst wird.

= Links =


# tag: Sicherheit